Какой контекст безопасности использует iframe для загрузки своей исходной страницы?
У меня есть страница sharepoint, которая является iframe для другого сайта asp.net.
1) Мне просто интересно, в каком контексте безопасности iframe загружает страницу asp.net? * Текущий пользователь вошел в sharepoint * Текущий идентификатор Windows (человек, который вошел в систему на ПК)
В моих тестах это, видимо, позже, но просто не совсем уверен.
2) Как настроить iframe для загрузки страницы asp.net с использованием учетных данных пользователя sharepoint?
Спасибо за вашу помощь.
2 ответа
Одним из способов является это:
на пользовательской странице входа в систему sharepoint sso (можно использовать проверку подлинности FBA или Windows) выполняется запрос к веб-службе авторизации, которая принимает имя пользователя, хэш-пароль и домен пользователя, сохраняет их в памяти или базе данных вместе с userKeyToken., Он проверяет входные аргументы, и когда они действительны и могут быть аутентифицированы, он отправляет обратно userKeyToken, который является зашифрованным значением, представляющим зарегистрированного пользователя. он может использовать алгоритм симметричного шифрования; не уверен, какой из них самый безопасный для использования.
Страница входа на сайт клиента сохраняет этот ключ в виде файла cookie или в своем сеансе; возможно, сессия лучше, так как она в памяти.
iframe отправляет этот ключ в виде строки запроса (или файла cookie?) на второй сайт, и второй сайт проверяет userKeyToken, если он все еще действителен, то продолжается...
Надеюсь, это поможет кому-то с той же проблемой.
Если вы загружаете что-то в iframe, все это происходит на клиенте, поэтому это эквивалентно переходу на страницу на другом сайте. Вам нужно будет снова пройти аутентификацию на этом другом сайте, если у вас нет механизма единого входа.